Recopila registros de AWS Route 53

Compatible con:

En este documento, se explica cómo configurar AWS CloudTrail para almacenar los registros de DNS de AWS Route 53 en un bucket de S3 y transferir los registros de S3 a Google Security Operations. Amazon Route 53 proporciona el registro de consultas de DNS y la capacidad de supervisar tus recursos con verificaciones de estado. Route 53 se integra con AWS CloudTrail, un servicio que proporciona un registro de las acciones que realiza un usuario, un rol o un servicio de AWS en Route 53.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Cómo configurar AWS CloudTrail y Route 53

  1. Accede a la consola de AWS.
  2. Busca Cloudtrail.
  3. Si aún no tienes un registro, haz clic en Crear registro.
  1. Proporciona un Nombre del segmento .
  2. Selecciona Crear un bucket de S3 nuevo (también puedes usar un bucket de S3 existente).
  3. Proporciona un nombre para el alias de AWS KMS o elige una clave de AWS KMS existente.
  4. Deja los demás parámetros de configuración con sus valores predeterminados y haz clic en Siguiente.
  5. Selecciona Tipo de evento y asegúrate de que esté seleccionado Eventos de administración (estos son los eventos que incluirán llamadas a la API de Route 53).
  6. Haz clic en Siguiente.
  7. Revisa la configuración en Revisar y crear.
  8. Haz clic en Crear ruta.
  9. En la consola de AWS, busca S3.
  10. Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs .
  11. Haz clic en Copiar URI de S3 y guárdala.

Configura el usuario de IAM de AWS

  1. En la consola de AWS, busca IAM.
  2. Haz clic en Usuarios.
  3. Haz clic en Agregar usuarios.
  4. Proporciona un nombre para el usuario (por ejemplo, chronicle-feed-user).
  5. Selecciona Clave de acceso: Acceso programático como el tipo de credencial de AWS.
  6. Haz clic en Next: Permissions.
  7. Selecciona Adjuntar las políticas existentes de forma directa.
  8. Selecciona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
  1. Haz clic en Siguiente: Etiquetas.
  2. Opcional: Agrega etiquetas si es necesario.
  3. Haz clic en Siguiente: Revisar.
  4. Revisa la configuración y haz clic en Crear usuario.
  5. Copia el ID de clave de acceso y la clave de acceso secreta del usuario creado.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds > Agregar un feed nuevo
  • Centro de contenido > Paquetes de contenido > Comenzar

Cómo configurar el feed de DNS de AWS Route 53

  1. Haz clic en el paquete Amazon Cloud Platform.
  2. Ubica el tipo de registro DNS de AWS Route 53.
  3. Opcional: Si usas la API de Ingestion para la transferencia directa de registros, especifica AWS Route 53 como el tipo de registro.

  4. Especifica los valores en los siguientes campos.

    • Tipo de fuente: Amazon SQS V2
    • Nombre de la cola: Es el nombre de la cola de SQS desde la que se leerá.
    • URI de S3: Es el URI del bucket.
      • s3://your-log-bucket-name/
        • Reemplaza your-log-bucket-name por el nombre real de tu bucket de S3.

    • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

    • ID de clave de acceso a la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 20 caracteres.

    • Clave de acceso secreta de la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 40 caracteres.

    Opciones avanzadas

    • Nombre del feed: Es un valor completado previamente que identifica el feed.
    • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
    • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

  5. Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
account_id read_only_udm.principal.resource.product_object_id Es el ID de la cuenta de AWS asociada a la búsqueda.
firewall_domain_list_id read_only_udm.security_result.rule_labels.value Es el ID de la lista de dominios de la que forma parte el dominio que se consulta.
firewall_rule_action read_only_udm.security_result.action Es la acción que realizó la regla de firewall que coincidió con la búsqueda. Los valores posibles son "ALLOW", "BLOCK" o "UNKNOWN_ACTION" si no se reconoce la acción.
firewall_rule_group_id read_only_udm.security_result.rule_id Es el ID del grupo de reglas de firewall que coincidió con la búsqueda.
logEvents{}.id read_only_udm.principal.resource.product_object_id Es el ID único del evento de registro. Se usa como resguardo si no está presente "account_id".
logEvents{}.message Este campo se analiza en otros campos del UDM según su formato.
logEvents{}.timestamp read_only_udm.metadata.event_timestamp.seconds Es la fecha y hora en que se registró la consulta de DNS.
messageType Este campo se usa para determinar la estructura del mensaje de registro.
propietario read_only_udm.principal.user.userid ID de la cuenta de AWS del propietario del registro.
query_class read_only_udm.network.dns.questions.class Es la clase de la consulta de DNS.
query_name read_only_udm.network.dns.questions.name Es el nombre de dominio que se consultó.
query_timestamp read_only_udm.metadata.event_timestamp.seconds Es la fecha y hora en que se realizó la consulta de DNS.
query_type read_only_udm.metadata.product_event_type Es el tipo de consulta de DNS.
rcode read_only_udm.metadata.description Es el código de respuesta de la consulta de DNS.
región read_only_udm.principal.location.name Región de AWS en la que se originó la consulta.
srcaddr read_only_udm.principal.ip Es la dirección IP del cliente que realizó la consulta de DNS.
srcids.instance read_only_udm.principal.hostname Es el ID de instancia del cliente que realizó la consulta de DNS.
srcids.resolver_endpoint read_only_udm.security_result.rule_labels.value Es el ID del extremo del solucionador que controló la consulta.
srcids.resolver_network_interface read_only_udm.security_result.rule_labels.value Es el ID de la interfaz de red del solucionador que controló la consulta.
srcport read_only_udm.principal.port Es el número de puerto del cliente que realizó la consulta de DNS.
transporte read_only_udm.network.ip_protocol Es el protocolo de transporte que se usa para la consulta de DNS.
version read_only_udm.metadata.product_version Es la versión del formato de los registros de consultas del solucionador de Route 53.
N/A read_only_udm.metadata.event_type Se codifica como "NETWORK_DNS".
N/A read_only_udm.metadata.product_name Está codificado como "AWS Route 53".
N/A read_only_udm.metadata.vendor_name Se codifica de forma rígida como "AMAZON".
N/A read_only_udm.principal.cloud.environment Está codificado como "AMAZON_WEB_SERVICES".
N/A read_only_udm.network.application_protocol Se codifica como "DNS".
N/A read_only_udm.network.dns.response_code Se asigna desde el campo "rcode" con una tabla de búsqueda.
N/A read_only_udm.network.dns.questions.type Se asigna desde el campo "query_type" con una tabla de búsqueda.
N/A read_only_udm.metadata.product_deployment_id Se extrae del campo "logevent.message_data" con el patrón de Grok.
N/A read_only_udm.network.dns.authority.name Se extrae del campo "logevent.message_data" con el patrón de Grok.
N/A read_only_udm.security_result.rule_labels.key Se establece en "firewall_domain_list_id", "resolver_endpoint" o "resolver_network_interface", según los campos disponibles.
N/A read_only_udm.security_result.action_details Se establece en el valor de "firewall_rule_action" si no es "ALLOW" o "BLOCK".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.